ForceCopy Stealer
Nustatyta, kad su Šiaurės Korėja susijusi programišių grupė „Kimsuky“ naudoja sukčiavimo spygliuočių atakas, kad platintų naujai identifikuotą informaciją vagiančią kenkėjišką programą „forceCopy“. Šios atakos prasideda nuo sukčiavimo el. laiškų, kuriuose yra paslėptas „Windows“ nuorodos (LNK) failas, atrodantis kaip „Microsoft Office“ arba PDF dokumentas. Nieko neįtariantys gavėjai, kurie atidaro failą nesąmoningai, sukelia grandininę reakciją, kuri vykdo kenkėjiškas komandas.
Turinys
Teisėtų įrankių naudojimas grėsmingiems kroviniams pristatyti
Kai vartotojas sąveikauja su žalingu priedu, užkrėtimo procesas prasideda paleidžiant PowerShell arba „mshta.exe“ – teisėtą „Windows“ programą, naudojamą HTML programos (HTA) failams paleisti. Ši technika leidžia užpuolikams gauti ir įdiegti papildomų kenkėjiškų programų naudingųjų apkrovų iš išorinio šaltinio nesukeliant įtarimo.
Trojos arklių ir nuotolinio darbalaukio įrankių diegimas
Atakos galiausiai sukelia žinomų grėsmių diegimą, įskaitant PEBBLEDASH Trojos arklys ir modifikuotą RDP Wrapper versiją – atvirojo kodo įrankį, naudojamą nuotolinei prieigai prie darbalaukio. Be to, įdiegta tarpinio serverio kenkėjiška programa, užtikrinanti nuolatinį ryšį tarp pažeisto įrenginio ir užpuoliko išorinio tinklo per nuotolinio darbalaukio protokolą (RDP).
„Keylogger“ ir „forceCopy“: taikymas pagal saugomus kredencialus
Kimsuky taip pat buvo pastebėtas naudojant „PowerShell“ pagrįstą klavišų kaupiklį, kad užfiksuotų klavišų paspaudimus, o tai dar labiau pagerintų jų galimybes pavogti neskelbtiną informaciją. Be to, naujai atrasta forceCopy kenkėjiška programa yra specialiai sukurta išgauti žiniatinklio naršyklės kataloguose saugomus failus. Tai rodo bandymą apeiti saugumo apribojimus ir tiesiogiai pasiekti naršyklės konfigūracijos failus, kuriuose dažnai saugomi prisijungimo duomenys.
Strateginis poslinkis: KPP naudojimas pagrindinio kompiuterio valdymui
Grupės priklausomybė nuo RDP Wrapper ir tarpinio serverio kenkėjiškų programų išryškina taktinius jų veiklos pokyčius. Anksčiau Kimsuky užkrėstoms sistemoms kontroliuoti pirmiausia naudojo pagal užsakymą pagamintas užpakalines duris. Dabar, naudodamiesi plačiai prieinamomis priemonėmis, jie siekia išlaikyti atkaklumą ir sumažinti aptikimo tikimybę.
APT43: ilgalaikė kibernetinio šnipinėjimo grėsmė
Manoma, kad Kimsuky, taip pat žinomas tokiais slapyvardžiais kaip APT43, Black Banshee ir Emerald Sleet, veikia pagal Šiaurės Korėjos generalinį žvalgybos biurą (RGB), pirmaujančią šalies užsienio žvalgybos tarnybą. Grupė, veikianti mažiausiai nuo 2012 m., ilgą laiką vykdo sudėtingas socialinės inžinerijos atakas, siekdama apeiti el. pašto apsaugos priemones.
Veiklos išplėtimas naudojant Rusijoje vykdomas sukčiavimo kampanijas
Naujausi išvados rodo, kad Kimsuky naudojo sukčiavimo el. laiškus, siunčiamus iš Rusijos el. pašto tarnybų, vykdydamas kredencialų vagystės kampanijas. Šis pritaikymas, pastebėtas 2024 m. gruodžio mėn., atspindi besikeičiančią grupės taktiką, kai ji ir toliau tobulina savo socialinės inžinerijos metodus, kad būtų nukreipta į didelę vertę turinčius asmenis ir organizacijas.
